iOS端末をMDM管理下から外せないようにする方法

MDMについて解説する時によく掲載している以下の画面。

管理部門の方なら誰しもこの画面を見て「これは困る」と思うはずです。そう、この画面の「削除」ボタンで、iOS端末はMDM支配下から逃れることができるからですね。

これを禁止する方法はないのでしょうか？

結論を先に書くとあります。本稿ではその方法について解説します。

以前の投稿でDEP端末には、MDMから設定アシスタント画面(初回起動時の様々な設定画面)の表示/非表示を設定できるという解説をしました。

(DEP端末の設定をDEPプロファイルと呼ぶ。呼称はMDMサービスによって異なる)

実はこのDEPプロファイル(DEP端末に行う設定)の中に「MDM管理下から外せないようにする」ための設定があります。

(MDMによるが高額な上位プランでないと設定できないものもある)

これは弊社でよく使うMDMであるBizMobileのDEPプロファイル設定画面ですが、中段に「MDMプロファイルの削除を許可」とあります。これをOFFにしておくと、このDEPプロファイルに紐付けられたiOS端末は、自動チェックインしたMDMから端末側の操作だけでは外せなくなります。

各MDMサービスで同様の設定が可能です。デフォルトでDEP端末はMDM管理下から外せないようにする設定になっているものもあります。詳しくは使っているMDMサービスのマニュアルを確認して下さい。

設定が正しくできた端末はこうなります。

[削除] ボタンが無いですね。これが、MDM管理下から逃れることができない状態のiOS端末です。

以上のとおり、DEP端末として炭末を用意し、MDMのDEP端末設定でMDMプロファイルを削除できないようにする。これがMDM管理下から外せない炭末を作る方法です。

iOS端末を従業員に配布したり各施設に配備する計画があって、それらを厳密に集中管理したいのであればDEP端末として購入する以外に選択肢はありません。

DEP端末でない端末は、いくらMDM支配下に入れたところで勝手に外れられる可能性があります。監視モードでなければ制限できることも限られてきます。このデメリットを考えれば、業務用に配布するiOS端末をDEP端末にしない理由はほとんどありません。

ですから今もし新たにiOS端末を大量導入予定で、MDMで端末管理したいと考えているなら、必ずDEP端末として購入するようにしましょう。DEP端末の購入方法はDEPとは何かの投稿を参考にして下さい。

「そんなこと言ってもDEPを知る前に大量に買っちゃったよ…」という方にも朗報があります。実は、DEP端末として購入しなかった端末を、DEP端末として購入した端末のように振る舞わせる特別な初期化が可能です。これをDEP化と言います。長くなってきましたので、詳細はまた別の記事で解説します。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです